混合PLS特征提取和CVM的异常入侵检测研究

为提高异常入侵检测的效率,提出一种混合偏最小二乘特征提取和核心向量机算法的入侵检测模型。模型使用偏最小二乘算法在入侵数据集上进行主成分提取,在此基础上构建特征集,引入适用于解决大规模样本训练问题的核心向量机算法,在特征集上建立入侵检测模型,使用该模型对异常入侵行为进行检测和判断。通过基于KDD99数据集上的入侵检测实验,验证了混合模型的可行性和有效性。     

基于粒子群LSSVM的网络入侵检测

研究保护网络安全问题,计算机网络攻击的多样性及隐蔽性导致网络入侵检测困难.当前流行的人工神经网络检测方法的网络入侵检测率仅70%左右,不能满足网络安全防护需求,为了解决上述问题,提出基于最小二乘支持向量机和粒子群优化算法(PSO-LSSVM)的网络入侵检测方法,粒子群优化算法用于选择合适的最小二乘支持向量机参数.方法泛化能力强,识别精度高.在网络入侵检测中,通过KDDCup99数据库数据进行仿真,证明方法的优越性.实验结果表明粒子群优化算法与最小二乘支持向量机组合方法的网络入侵检测精度优于LSSVM与SVM.可见,PSO-LSSVM非常适合于网络入侵检测,可为网络保护设计提供参考.     

基于CQPSO-LSSVM的网络入侵检测模型

为了提高网络入侵检测率,提出一种协同量子粒子群算法和最小二乘支持向量机的网络入侵检测模型(CQPSO-LSSVM)。将网络特征子集编码成量子粒子位置,入侵检测正确率作为特征子集优劣的评价标准,采用协同量子粒子群算法找到最优特征子集,采用最小二乘支持向量机建立网络入侵检测模型,并采用KDD CUP 99数据集进行仿真测试。结果表明,CQPSO-LSSVM获得了比其他入侵检测模型更高的检测效率和检测率。     

基于KPLS的网络入侵特征抽取及检测方法

从特征抽取的角度研究提高入侵检测性能问题,提出应用核偏最小二乘(KPLS)进行入侵特征抽取和检测的方法.其优点在于KPLS能非线性地抽取输入特征的多个正交分量,并保持与输出类别的相关性,可同时完成入侵特征抽取和判别.将该方法应用于基于Linux主机的入侵检测实验,取得了比SVM和KPCR等方法更好的效果.     

基于核的偏最小二乘特征提取的最小二乘支持向量机回归方法

提出了用核的偏最小二乘进行特征提取．首先把初始输入映射到高维特征空间，然后在高维特征空间中计算得分向量，降低样本的维数，再用最小二乘支持向量机进行回归．通过实验表明，这种方法得到的效果优于没有特征提取的回归．同时与PLS提取特征相比，KPLS分析效果更好．     

基于聚类的LS-SVM的入侵检测方法研究

本文针对最小二乘法支持向量机在入侵检测中的训练效率低下的缺点,将聚类方法应用其中。该方法主要用来对数据集进行剪枝,有效地减少距离分类面较远的数据集合数量,而使用靠近聚类中心的数据集合作为有效的样本集合,减少样本的训练时间,提高训练效率。实验表明,使用聚类方法提高了最小二乘法支持向量机的训练效率,而且对入侵检测有很好的效果。     

基于约简SVM的网络入侵检测模型

支持向量的数量越大,基于SVM的网络入侵检测系统速度越慢。针对该问题提出一种新的SVM约简方法,在特征空间中对支持向量进行聚类,寻找聚类质心在输入空间中的原像,将其作为约简向量,以实现支持向量削减目的。实验结果证明,该方法能提高SVM入侵检测引擎的速度,增强入侵检测系统的实时响应能力。     

基于广泛内核的CVM算法的入侵检测

为了有效避免传统最小闭包球算法的内核限制问题以及子二次规划问题(quadratic problem,QP),提出了基于广泛内核的最小闭包球算法的入侵检测方法.首先算法对样本集求其中心约束的最小闭包球(center-constrained minimum enclosing ball,CCMEB)问题,通过球心和半径的更新求得新的最小闭包球(minimum enclosing ball,MEB),从而决定分类超平面的支持向量.然后从理论上分析该算法的收敛性、时间复杂度和空间复杂度.最后再根据支持向量的分布对网络的入侵行为进行分类.通过用KDD99数据的验证,证明了这种方法的有效性和可行性.     

基于CPSO-LSSVM的网络入侵检测

为提高网络入侵检测效果,提出一种结合混沌粒子群优化（CPSO）算法和最小二乘支持向量机（LSSVM）的网络入侵检测模型。将网络特征和LSSVM参数编码成二进制粒子,根据网络入侵检测正确率和特征子集维数权值构造粒子群目标函数。通过粒子群找到最优特征子集和LSSVM参数,同时引入混沌机制保证粒子群的多样性,防止早熟现象的出现,从而建立最优网络入侵检测模型。采用KDD99数据集进行性能测试,结果表明,该模型不仅能获得最优特征子集和LSSVM参数,而且提高了入侵检测速度和正确率,降低了入侵检测误报率和漏报率。     

基于混合CatfishPSO-LSSVM 特征选择的入侵检测

入侵检测系统面临的主要问题是计算量大,特征选择被引入解决这一问题。针对现有方法的缺点,利用改进的粒子群算法来搜索最优特征子集,提出了一种基于混合CatfishPSO和最小二乘支持向量机的特征选择方法,利用混合的CatfishBPSO和CatfishPSO选择特征子集并同步对LSSVM的参数进行优化,最后建立了一个基于该特征选择方法的入侵检测模型。在KDD Cup 99数据集上进行的实验结果表明该模型的检测性能较高。     

融合Fast特征选择与ABQGSA-SVM的网络入侵检测*

为进一步提升网络入侵检测效果,提出一种融合FAST特征选择与自适应二进制量子引力搜索支持向量机的(FAST-ABQGSA-SVM)网络入侵检测算法。利用FAST算法过滤掉原始特征集中冗余无关的特征形成候选特征子集,基于组合优化策略采用自适应二进制量子引力搜索算法对候选特征子集与SVM分类器参数进行组合优化。在ABQGSA反复学习寻优过程中,采取动态自适应波动式调整策略更新量子旋转角以平衡算法全局搜索能力和局部搜索能力,同时为提升算法的自适应变异能力,设计与进化程度及个体适应度值相关的自适应变异概率,当种群进化出现停滞时及时引入量子位离散交叉操作帮助种群摆脱局部极值。最后使用KDD CUP 99入侵检测数据进行仿真实验。结果表明,所提出的ABQGSA-SVM算法较其他同类型检测算法具有更好的鲁棒性、学习精度以及检测效果。     

Network intrusion detection based on deep learning model optimized with rule-based hybrid feature selection

ABSTRACT

Network Intrusion Detection System (NIDS) is often used to classify network traffic in an attempt to protect computer systems from various network attacks. A major component for building an efficient intrusion detection system is the preprocessing of network traffic and identification of essential features which is essential for building robust classifier. In this study, a NIDS based on deep learning model optimized with rule-based hybrid feature selection is proposed. The architecture is divided into three phases namely: hybrid feature selection, rule evaluation and detection. Several search methods and attribute evaluators were combined for features selection to enhance experimentation and comparison. The results obtained showed that the number of selected features will not affect the detection accuracy of the feature selection algorithms, but directly proportional to the performance of the base classifier. Results from the performance comparison proved that the proposed method outperforms other related methods with reduction of false alarm rate, high accuracy rate, reduced training and testing time of 1.2%, 98.8%, 7.17s and 3.11s, respectively. Finally, the simulation experiments on standard evaluation metrics showed that the proposed method is suitable for attack classification in NIDS.     

基于Adam-BNDNN的网络入侵检测模型

针对传统入侵检测算法检测精度低、误报率高等问题,提出了一种融合批量规范化和深度神经网络的网络入侵检测模型。该模型首先在深度神经网络隐藏层添加批量规范化层,优化隐藏层的输出结果,然后采用Adam自适应梯度下降优化算法对BNDNN参数进行自动优化,提高模型检测能力。并使用NSL-KDD数据集进行仿真实验,结果表明该模型的检测效果优于SNN、KNN、DNN等检测方法;整体检测率可达99.41%,整体误报率为0.59%,证明了模型的可行性。     

一种基于自回归模型的网络异常检测方法

随着网络技术的不断发展,计算机病毒、网络攻击等问题也日益严峻.维护网络的安全和稳定,是一个亟须解决的问题.针对该问题,介绍了一种基于自回归模型的网络异常检测方法,该方法将局部的网络流量看作统计学上近似的平稳.OPNET上的仿真实验表明,该方法能有效检测出网络异常,误报率低.     

基于特征选择的无监督入侵检测方法

为提高入侵检测系统的检测速度和效果,结合遗传算法提出了一种基于特征选择的无监督入侵检测方法。一方面利用改进的遗传算法作为搜索策略;一方面使用K均值聚类算法对提取特征后的数据进行聚类,并将类间离散度和类内离散度的相关比值作为特征子集的评价指标,从而实现最优特征子集的求解并用于无监督的入侵检测。实验结果表明,该方法由于解决了入侵检测的特征选择问题,与未采用特征选择的无监督入侵检测相比具有更好的性能。     

基于访问控制的主机异常入侵检测模型*

结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACBIDS。根据系统调用函数间的约束关系构建基于扩展有向无环图（DAG）的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACBIDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。     

Network intrusion detection in covariance feature space

Detecting multiple and various network intrusions is essential to maintain the reliability of network services. The problem of network intrusion detection can be regarded as a pattern recognition problem. Traditional detection approaches neglect the correlation information contained in groups of network traffic samples which leads to their failure to improve the detection effectiveness. This paper directly utilizes the covariance matrices of sequential samples to detect multiple network attacks. It constructs a covariance feature space where the correlation differences among sequential samples are evaluated. Two statistical supervised learning approaches are compared: a proposed threshold based detection approach and a traditional decision tree approach. Experimental results show that both achieve high performance in distinguishing multiple known attacks while the threshold based detection approach offers an advantage of identifying unknown attacks. It is also pointed out that utilizing statistical information in groups of samples, especially utilizing the covariance information, will benefit the detection effectiveness.     

基于层叠模型的网络流量异常检测方法*

进行网络流量异常检测,需要对正常流量行为建立准确的模型,根据异常流量与正常模型间的偏离程度作出判断。针对现有网络流量模型中自相似模型与多分形模型无法全面刻画流量特征的不足,提出了一种基于流量层叠模型分析的异常检测算法,采用层叠模型对整个时间尺度上的流量特征进行更准确的描述,并运用小波变换对流量的层叠模型进行估计,分析异常流量对模型估计的影响,提出统计累计偏离量进行异常流量检测的方法。仿真结果表明,该方法能够有效检测出基于自相似Hurst系数方法不能检测的弱异常以及未明显影响Hurst系数变化的异常流。     

cFEM: a cluster based feature extraction method for network intrusion detection

International Journal of Information Security - The recent trend in network intrusion detection leverages key features of machine learning (ML) algorithms to detect network traffic anomalies....     

基于异常的入侵检测技术浅析

入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要的环节。详细介绍了基于异常的入侵检测技术的原理和基本流程,并结合现有的基于异常的入侵检测系统,重点分析了几种常用的异常检测技术,讨论了基于异常的入侵检测技术的优点和存在的问题。